Кража ключей, слежка и полный доступ к системе. Рассказываем, как хакеры взломали главную библиотеку интернета и внедрили в неё бэкдор
NewsMakerВ популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа.
Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и разработчики по всему миру начали скачивать заражённые обновления, даже не подозревая об угрозе.
Инцидент начался с компрометации учётной записи одного из основных сопровождающих проекта. Получив доступ к его npm-аккаунту, атакующие опубликовали версии axios 1.14.1 и 0.30.4 с внедрённым вредоносным компонентом. Эти релизы выглядели легитимно и обошли стандартные проверки, поскольку были выпущены от имени доверенного участника проекта.
В заражённых версиях появилась дополнительная зависимость plain-crypto-js 4.2.1. После установки пакет автоматически запускал скрытый сценарий, который загружал троян удалённого доступа . Вредоносное ПО работало на Linux, macOS и Windows, связывалось с управляющим сервером и позволяло выполнять команды, собирать данные и закрепляться в системе.
Атака оказалась тщательно подготовленной. По данным специалистов StepSecurity, вредоносные компоненты создали заранее, а публикация затронула сразу две ветки проекта с минимальным интервалом. Все следы вредоносной активности пытались уничтожить автоматически, что усложнило анализ.
Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и разработчики по всему миру начали скачивать заражённые обновления, даже не подозревая об угрозе.
Инцидент начался с компрометации учётной записи одного из основных сопровождающих проекта. Получив доступ к его npm-аккаунту, атакующие опубликовали версии axios 1.14.1 и 0.30.4 с внедрённым вредоносным компонентом. Эти релизы выглядели легитимно и обошли стандартные проверки, поскольку были выпущены от имени доверенного участника проекта.
В заражённых версиях появилась дополнительная зависимость plain-crypto-js 4.2.1. После установки пакет автоматически запускал скрытый сценарий, который загружал троян удалённого доступа . Вредоносное ПО работало на Linux, macOS и Windows, связывалось с управляющим сервером и позволяло выполнять команды, собирать данные и закрепляться в системе.
Атака оказалась тщательно подготовленной. По данным специалистов StepSecurity, вредоносные компоненты создали заранее, а публикация затронула сразу две ветки проекта с минимальным интервалом. Все следы вредоносной активности пытались уничтожить автоматически, что усложнило анализ.